本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
組織の事業活動においてサイバーリスクとその対応策の検討は、どのタイミングで実施されるのか――筆者が所属するパロアルトネットワークスが実施した調査では、システムやテクノロジーの導入段階になってようやく検討されるという実態が明らかになっており、「企業が事業計画のどのタイミングでサイバーセキュリティを組み込むのか?」という疑問に対する一つの答えになる。
例えば、IoT機器やスマートフォンのアプリ、クラウドサービスを企画・開発して市場に投入する、あるいは個人データとマーケティングオートメーションツールを連携して営業やマーケティング活動を強化するなどの施策を一連のプロセスとして考えると、このタイミングの議論はイメージしやすいかもしれない。筆者も、これまでマーケティングオートメーションの施策から製品開発、GDPR(欧州での一般データ保護規則)が関係するグローバルプロジェクトの運営など、さまざまな企画でサイバーセキュリティやプライバシーを検討、対応してきた。
前述の調査(下図参照)では、クラウドやモバイル、IoTなどのテクノロジーは、TCO(Total Cost of Ownership、総所有コスト)削減やビジネスの俊敏性、顧客満足向上を目的に、企業での活用が進んでいることが分かっている。また、一部の企業では、新規ビジネスの創出やビジネスモデルの変革、業務高度化や顧客への新規価値創造を目指し、デジタルトランスフォーメーション(DX)への取り組みも始まっている。ビジネス変革の取り組みにおいては、テクノロジーが中心的な役割を果たすと同時に、そこで収集されるデータの量と質が、成否を大きく左右する要素になる。
国内企業のテクノロジーを活用したビジネス施策の実施状況
デジタルビジネスは既にサイバーリスクにさらされている
企業が先ほどのテクノロジーやツール、サービスを通じて顧客などのステークホルダーに提供するメリットを最大化させるには、例えば、メールアドレスやID、パスワードのように個々の利用者を識別したり、認証したりする仕組みが必要となる。特に識別・認証する際に使われるパスワードは、近年サイバーセキュリティにおける大きなリスク要因の1つである。多くの機器やサービスには、利用者に強度の高いパスワード設定を強制する仕組みが備わっておらず、またメーカーによる出荷時設定のパスワードから利用者が変更できない機器も存在するのも現状だ。
中でもIoT機器は、その特性上、従来のPCやスマートフォンと異なり、利用者が自らセキュリティ対策を組み込むことができない。そのため、サイバー攻撃対策やセキュリティ上の欠陥(脆弱性)を修復する仕組みをメーカーが組み込む必要がある。脆弱性が発見され、問題を解決するための更新プログラムを適用するにも、ITリテラシーの高くない利用者の対応に依存する機器が少なくない上、必要性自体が広く認知されていないのが実情だ。例えば、「ウェブカメラが侵害されプライバシーが脅かされる」「スマートテレビがランサムウェアの被害に遭い画面操作が不能になる」といった事象は、IoTの世界では既に現実のものとなっている。
IoTなどの機器から収集された情報は、クラウド上で保管、運用されるが、世界各地で多発しているクラウド上での情報漏えいの多くは、データ格納領域のアクセス設定など、わずかなミスが原因で発生している。実際に海外では、スマートホームの管理用プラットフォームを提供する事業者のインフラ上で、膨大な量の利用顧客のプライバシー情報が流出するという事例も発生している。
企業が利用者に提供するメリットを最大化するために必要なものには、利用者の識別・認証の仕組み以外に、識別された利用者の利用方法や利用履歴、興味関心といった個人データもある。このような利用者の行動や嗜(し)好に関する情報は、マーケティングオートメーションやDXなどの施策でも同様に活用される。さらに個人データは、自社サービス全般の改善につなげられるメリットもある。データに基づく確かな事業展開が可能になるため、企業の個人データ活用の需要が高いのは当然のことである。
近年はプライバシーに関する懸念と、企業が持つ個人データを脅かすサイバーリスクの増大から、企業による過度なデータ活用に待ったをかけるかのごとく、国内外で法規制の強化が大きな潮流となっている。欧州でのGDPR施行時は、情報漏えいなどの事故という結果に対して巨額の制裁金が課せられるとの“誤解”が生まれ、企業でのデータ利用や活用の推進を大きく妨げるものとの見方もあった。また施行前には、利用者に対する個人データ取得・利用に関する許諾の取り直しや未取得企業による対応が海外企業を中心に実施されたのは記憶に新しい。
GDPRのような動きは、個人データの利用に当たってデータに対する企業の方針の整備からデータの廃棄に至るまで、体制を含めた一連のプロセスがポイントになるという1つの転換点といえる。国内でも2020年は個人情報保護法の見直しが予定されているが、サイバーセキュリティやプライバシーに関する法規制が、一層企業にとって厳しいものになる流れが世界的であるのは間違いない。
